BYOD
COVID-19 salgını nedeniyle, daha önce hiç düşünmemiş olanlar da dahil olmak üzere birçok şirket, çalışanlarına evden çalışma talimatı veriyor. Bu, herhangi bir uzaktan çalışma politikasına sahip olmadıkları, dolayısıyla uzaktan çalışmaya geçişin riskleri artırma olasılığını da göz önünde bulundurmadıkları anlamına geliyor. Bu konudaki bilgi eksiğini gidermeye çalışacağız ve riskleri nasıl en aza indirebileceğimizi anlatacağız.
İlk bakışta, ofis çalışanları için tek değişiklik meslektaşları ile yüz yüze olmamaları olarak görülebilir. Ama aslında bundan çok daha fazlası var. Örneğin iletişim kanalları, yerleşik rutinler, işbirliği araçları, ekipmanlar ve bu ekipmana erişim gibi konuları göz önünde bulundurmak gerekiyor.
İletişim kanalları
Çalışanlarınız ofiste yerel ağda çalışırken, tüm veri alışverişi işlemlerini güvenlik çözümleriniz gerçekleştirir. Ancak çalışanların evden çalışması, denkleme fazladan bir değişken daha katıyor: ISP’ler. Çalışanların güvenlik tedbirleri hakkında hiçbir şey bilmiyorsun ve kontrol etmeniz mümkün değil. Bazı durumlarda, evdeki internet bağlantılarına yalnızca çalışanınız tarafından değil, aynı zamanda potansiyel bir saldırgan tarafından da erişilebilir. Kısacası, bu tür iletişim kanalları üzerinden kurumsal sırları paylaşmak pek de doğru değildir.
Çözüm: Çalışanlarınızın kurumsal kaynaklara uzaktan bağlanması gerekiyorsa, iş istasyonları ile altyapınız arasında güvenli bir kanal kurmak ve kurumsal verileri dışarıdan istenmeyen erişime karşı korumak için güvenilir bir VPN kurduğunuzdan emin olun. Aynı zamanda, VPN olmadan harici ağlardan kurumsal kaynaklara olan bağlantıları yasaklayın.
Yerleşik rutinler
Uzaktan çalışanlar, bir iş meselesini tartışmak için yürüyüp iş arkadaşlarının masasına gidemezler; bu nedenle (normalde iletişimi tamamen sözlü gerçekleştiren) yeni katılımcılar da dahil olmak üzere yazışmalarda bir artış beklemeniz yerinde olur. Kısacası, herkesin ofiste olmaması, çalışanların yerleşik rutinlerini temelinden değiştirir. Teorik olarak, bu bir saldırganın harekete geçebilmesi ve özellikle BEC saldırılarıkullanması için daha fazla alan yaratır. Tabiri caizse, bir kurumsal yazışmalar okyanusu ortasında küçücük bir kimlik avı teknesini fark etmek zor olacaktır. Başka bir deyişle, veri isteyen sahte bir mesaj, normal koşullarda olduğu kadar olağan dışı veya şüpheli görünmeyecektir. Dahası, ev ortamının daha rahat olması, birçok kişiyi daha az uyanık hale getirebilir.
Çözüm: İlk olarak, evde olsalar bile, tüm çalışanlar sadece iş e-postalarını kullanmalıdır. Bu, en azından bir siber suçlunun başka bir etki alanında bir hesap kullanmaları durumunda çalışan kimliğine bürünme girişimini tespit etmeyi kolaylaştıracaktır. İkincisi, posta sunucularınızın ileti göndereni değiştirme girişimlerini algılayabilen teknolojiler tarafından korunduğundan emin olmanız gerekir. Hem e-posta sunucularına hem de Microsoft Office 365 programlarına yönelik çözümlerimiz, bu teknolojileri sağlar. Üçüncüsü, çalışanları eve göndermeden önce, onlara siber tehditlerle ilgili bir kurs vermeniz gerekir.
Birlikte çalışma araçları
Yüz yüze iletişimi kaybetmiş olan çalışanlar, bazıları güvenilir olmayabilen diğer birlikte çalışma yöntemlerine başvurabilirler. Bu yöntemlerin doğru yapılandırılması gerekmektedir. Örneğin, yanlış yapılandırılmış erişim izinlerine sahip bir Google Docs belgesi, bir arama motoru tarafından dizine eklenebilir ve kurumsal veri sızıntısı kaynağı haline gelebilir. Aynı şey bulutta depolanan veriler için de geçerlidir. Slack gibi birlikte çalışma ortamları da sızıntı yayabilir; rastgele eklenen bir yabancı, tüm dosya ve ileti geçmişine erişebilir.
Çözüm: Doğal olarak, güvenlik ve özellikler açısından doğru bir birlikte çalışma ortamı seçmek sizin yararınıza olacaktır. İdeal olarak, bu ortama kayıt, kurumsal bir e-posta adresi gerektirmelidir. Dahası, gerektiğinde erişim hakkı vermek ve bu hakkı iptal etmek için özel bir yönetici atamayı da düşünebilirsiniz. Ancak en önemlisi, çalışanların evden çalışmalarına izin vermeden önce, bir farkındalık oturumu yapın (oturum da uzaktan yapılabilir) ve yalnızca şirketinizde dağıtılan (veya sizin tarafınızdan onaylanan) birlikte çalışma sistemini kullanmaları konusunda ısrarcı olun. Ayrıca şirket sırlarını güvende tutmaktan sorumlu olduklarını yinelemek de yardımcı olacaktır.
Ekipmanlar
Genel olarak konuşursak, tüm çalışanların kurumsal dizüstü bilgisayarlara erişimi yoktur. Cep telefonları ise tüm görevler için uygun değildir. Bu nedenle, çalışanlar ev bilgisayarlarını kullanmaya başlayabilir. BYOD (Kendi Cihazını Getir) politikası olmayan şirketler için bu, ciddi bir tehdit oluşturabilir.
Çözüm: İlk olarak, çalışanlar evden çalışmak zorundaysa, mümkünse onlara kurumsal dizüstü bilgisayarlar ve telefonlar sağlayın . Cihazların uygun güvenlik çözümleri ile korunması gerektiğini söylememize bile gerek yok. Dahası, bu çözümler kurumsal bilgileri uzaktan silme, kişisel ve kurumsal verileri ayrı tutma ve uygulamaların kurulumuna kısıtlamalar koyma olanağı sağlamalıdır. Bu çözümleri, en son önemli yazılım ve işletim sistemi güncellemelerini otomatik olarak kontrol edecek şekilde ayarlayın.
Herhangi bir nedenle çalışanlar kişisel cihazları kullanmak zorundaysa, bu cihazlardaki kurumsal verileri yönetmek için bir BYOD politikasını oluşturmanın tam zamanı: Örneğin, iş ve kişisel veriler için ayrı bölümler oluşturulmasını şart koşabilirsiniz. Dahası, tüm çalışanların birer ev antivirüs yazılımı kurmaları konusunda ısrarcı olun; yalnızca ücretsiz bir çözüm kuracak olsalar bile. İdeal olarak, bu tür cihazların yalnızca bir güvenlik çözümü yüklendiğinden ve işletim sisteminin güncel olduğundan emin olduktan sonra kurumsal ağlara bağlanmasına izin vermelisiniz.
Ekipmanlara erişim
Çalışanlarınızın nerede ve kiminle yaşadığından asla emin olamazsınız. Örneğin, bir fincan çay almaya gittiklerinde çalışma ekranını kimlerin görebileceğini bilemezsiniz. Çalışanların gün boyunca çoğunlukla yalnız oldukları bir evde çalışmalarıyla, sızıntı ve tehlike risklerinin çok daha büyük olduğu bir kafede veya birlikte çalışma alanında çalışmaları bambaşka şeylerdir.
Çözüm: Bu sorunların çoğunu, parola ve otomatik ekran kilitleme kullanımını öngören güvenlik ilkeleri aracılığıyla çözebilirsiniz. Uzaktan çalışma konusunda da tıpkı diğer siber güvenlik konularında olduğu gibi, bilinçlendirme eğitimi, genel farkındalığın korunmasına yardımcı olur.
Web seminerleri
Uzmanlarımız 18 Mart’ta güvenli telekomünikasyon hakkında bir web semineri düzenlemeyi planlıyor. Sizi, BrightTalk’a kaydolarak tartışmaya katılmaya davet ediyoruz.
İpuçları